DORA teaberegister: ISO 27001 juhend

On teisipäev kell 09.15. Kiiresti kasvava fintech-ettevõtte infoturbejuht (CISO) Sarah osaleb valmisolekuhindamisel koos vastavusjuhi, õigusnõustaja, hankejuhi ja pilvearhitektiga. Väline konsultant täidab DORA järelevalveasutuse rolli.

„Täname esitluse eest,“ ütleb ta. „Palun esitage oma teaberegister, nagu nõuab DORA Article 28, sealhulgas kriitilisi või olulisi funktsioone toetavad IKT-teenuste lepingulised kokkulepped, alltöövõtu nähtavus, varade omandiõigus ja tõendusmaterjal selle kohta, et registrit hallatakse teie IKT-riskijuhtimise raamistiku alusel.“

Esimene vastus kõlab enesekindlalt: „Meil on tarnijate nimekiri.“

Siis algavad küsimused.

Millised tarnijad toetavad maksete autoriseerimist? Millised lepingud sisaldavad auditeerimisõigusi, intsidendituge, andmete asukoha kohustusi, lõpetamisõigusi ja väljumistuge? Millised SaaS-platvormid töötlevad klientide isikuandmeid? Millised pilveteenused toetavad kriitilisi või olulisi funktsioone? Millised alltöövõtjad on hallatud turbeteenuse pakkuja taga? Milline sisemine varaomanik selle sõltuvuse heaks kiitis? Millised ISO/IEC 27001:2022 riskikäsitlusplaani riskid on nende teenuseosutajatega seotud? Millised kohaldatavusdeklaratsiooni (SoA) kirjed põhjendavad kontrollimeetmeid?

Kell 10.30 on meeskond avanud neli arvutustabelit, CMDB ekspordi, SharePointi kausta PDF-lepingutega, privaatsuse valdkonna volitatud töötlejate loendi, pilvearvelduse aruande ja käsitsi hallatava SaaS-jälgija. Ükski neist ei lange omavahel kokku.

See on DORA teaberegistri praktiline väljakutse 2026. aastal. DORA rakendamine on liikunud seisust „vajame teekaarti“ seisu „näidake tõendusmaterjali“. Finantsüksuste, kolmandast isikust IKT-teenuse osutajate, CISO-de, siseaudiitorite ja vastavusmeeskondade jaoks ei ole register enam halduslik mall. See on ühenduskiht IKT-lepingute, tarnijariski, alltöövõtuahelate, pilveteenuste, IKT-varade, kriitiliste funktsioonide, juhtimisvastutuse ja ISO/IEC 27001:2022 tõendusmaterjali vahel.

Claryseci lähenemine on lihtne: ärge ehitage DORA teaberegistrit eraldiseisva vastavusartefaktina. Ehitage see oma ISMS-i elava tõenduskihina, mida toetavad varahaldus, tarnijaturve, pilveteenuste kasutamise juhtimine, õiguslike ja regulatiivsete kohustuste kaardistamine, auditi metaandmed ja riskikäsitluse jälgitavus.

Claryseci Zenith Controls: The Cross-Compliance Guide Zenith Controls määratleb kolm ISO/IEC 27001:2022 lisa A ankurkontrollimeedet, mis on selle teema puhul eriti asjakohased: A.5.9, teabe ja muude seotud varade inventuur; A.5.19, infoturve tarnijasuhetes; ning A.5.20, infoturbe käsitlemine tarnijalepingutes. Need kontrollimeetmed ei ole täiendav paberimajandus. Need on tegevuslik selgroog, millega tõendada, et register on täielik, omanikuga, ajakohane ja auditi jaoks sobiv.

Mida DORA teaberegistrilt ootab

DORA kohaldub alates 17. jaanuarist 2025 ning loob finantssektori IKT-kerksuse reeglistiku IKT-riskijuhtimise, intsidentidest teatamise, digitaalse tegevuskerksuse testimise, kolmanda isiku riski, lepinguliste kokkulepete, kriitiliste kolmandast isikust IKT-teenuse osutajate järelevalve ja järelevalvelise jõustamise jaoks. Finantsüksuste puhul, kes on määratletud ka riikliku NIS2 ülevõtmise alusel, toimib DORA sektorispetsiifilise liidu õigusaktina vastavate küberturvalisuse riskijuhtimise ja intsidentidest teatamise nõuete osas.

Registrikohustus paikneb DORA IKT kolmanda isiku riski juhtimise distsipliinis. DORA Article 28 nõuab, et finantsüksused juhiksid IKT kolmanda isiku riski IKT-riskijuhtimise raamistiku osana, jääksid IKT-teenuse osutajate kasutamisel täielikult vastutavaks nõuete täitmise eest, peaksid IKT-teenuste lepinguliste kokkulepete teaberegistrit ning eristaksid kokkuleppeid, mis toetavad kriitilisi või olulisi funktsioone.

DORA Article 29 lisab kontsentratsiooni- ja alltöövõturiski kaalutlused. See hõlmab asendatavust, mitut sõltuvust samast või seotud teenuseosutajast, kolmandates riikides tehtavat alltöövõttu, maksejõuetusega seotud piiranguid, andmete taastamist, andmekaitsenõuete täitmist ning pikki või keerukaid alltöövõtuahelaid.

DORA Article 30 määratleb seejärel lepingu sisu, mida audiitorid eeldavad näha. See hõlmab teenusekirjeldusi, alltöövõtu tingimusi, andmetöötluse asukohti, andmekaitsekohustusi, juurdepääsu- ja taastamiskohustusi, teenustasemeid, intsidendituge, koostööd ametiasutustega, lõpetamisõigusi, koolitustel osalemist, auditeerimisõigusi ja väljumisstrateegiaid kokkulepete puhul, mis toetavad kriitilisi või olulisi funktsioone.

Küps DORA teaberegister peab vastama neljale praktilisele küsimusele.

Nõrk register on arvutustabel, mida hange uuendab kord aastas. Tugev register on juhitud andmekogum, mis ühendab tarnijaportfelli, varade registri, pilveteenuste registri, lepingute hoidla, privaatsuskirjed, talitluspidevuse plaanid, intsidentidele reageerimise tööjuhised, riskiregistri ja ISO/IEC 27001:2022 tõendusmaterjali.

Miks ISO 27001 on kiireim tee kaitstava DORA registrini

ISO/IEC 27001:2022 annab organisatsioonidele juhtimissüsteemi struktuuri, mis DORA tõendusmaterjalil sageli puudub. Punktid 4.1 kuni 4.4 nõuavad, et organisatsioon määratleks konteksti, huvitatud pooled, õiguslikud, regulatiivsed ja lepingulised kohustused, kohaldamisala, liidesed ja sõltuvused. Just siia kuulub DORA ISMS-is, sest register sõltub teadmisest, millised finantsteenused, IKT-teenuse osutajad, kliendid, ametiasutused, pilveplatvormid ja allhankeprotsessid jäävad kohaldamisalasse.

Punktid 5.1 kuni 5.3 nõuavad juhtimist, poliitikatega kooskõla, ressursse, vastutusi ja aruandlust tippjuhtkonnale. See on oluline, sest DORA Article 5 paneb juhtorganile vastutuse IKT-riskijuhtimise raamistiku määratlemise, heakskiitmise ja järelevalve eest, sealhulgas kolmandast isikust IKT-teenuste poliitikate ja aruandluskanalite eest.

Punktid 6.1.1 kuni 6.1.3 on koht, kus register muutub riskipõhiseks. ISO/IEC 27001:2022 nõuab korratavat riskihindamise protsessi, riskiomanikke, tõenäosuse ja tagajärgede analüüsi, riskikäsitlust, kontrollimeetmete valikut, kohaldatavusdeklaratsiooni ning riskiomaniku heakskiitu jääkriskile. DORA register, mis ei ole seotud riskikäsitlusega, muutub staatiliseks loendiks. Riskistsenaariumide, kontrollimeetmete ja omanikega seotud register muutub audititõenduseks.

Punktid 8.1 kuni 8.3 muudavad kavandamise kontrollitud tegevuseks. Need toetavad dokumenteeritud teavet, tegevuse planeerimist ja ohjet, muudatuste ohjet, väliselt osutatavate protsesside ohjet, kavandatud riskide kordushindamisi, käsitlusmeetmete rakendamist ja tõendusmaterjali säilitamist. See on 2026. aastal kriitiline, sest järelevalveasutused ei küsi üksnes seda, kas register mingil ajahetkel eksisteeris. Nad küsivad, kas uued lepingud, muutunud teenused, uued alltöövõtjad, pilvemigratsioonid ja väljumissündmused jõuavad juhtimistsüklisse.

Lisa A kontrollikiht kinnitab sama põhimõtet. Tarnijasuhted, tarnijalepingud, IKT tarneahela risk, tarnijate teenuste seire, pilveteenuste soetamine ja lõpetamine, intsidendihaldus, talitluspidevus, õiguslikud ja regulatiivsed kohustused, privaatsus, varukoopiad, logimine, seire, krüptograafia ja nõrkuste haldus mõjutavad kõik registri kvaliteeti.

Claryseci Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint selgitab varade vundamenti etapis Controls in Action, samm 22:

Kõige strateegilisemas vormis toimib varade register teie ISMS-i keskse närvisüsteemina. See määrab, kuidas juurdepääsuõigusi antakse (8.2), kus tuleb rakendada krüptimist (8.24), millised süsteemid vajavad varundamist (8.13), milliseid logisid kogutakse (8.15) ning isegi seda, kuidas klassifitseerimis- ja säilitamispoliitikaid rakendatakse (5.10, 8.10).

See tsitaat võtab praktilise mõtte kokku. Usaldusväärset DORA teaberegistrit ei saa pidada, kui selle aluseks olev varade register ei ole usaldusväärne. Kui teie register ütleb „Core Banking SaaS“, kuid varade register ei näita rakendusliideseid, teenusekontosid, andmestikke, logiallikaid, krüptimisvõtmeid, varundussõltuvusi ja omanikke, on register auditi vaates puudulik.

Claryseci andmemudel: üks register, mitu tõendusvaadet

DORA teaberegister ei peaks asendama teie tarnijaregistrit, vararegistrit ega pilveteenuste registrit. See peaks need ühendama. Clarysec kujundab registri tavaliselt peamise tõenduskihina, millel on kontrollitud seosed olemasolevate ISMS-i kirjetega.

Minimaalselt toimiv mudel koosneb seitsmest seotud objektist.

See struktuur võimaldab ühel registril toetada mitut tõendusmaterjali päringut. DORA järelevalveasutus saab vaadata lepingulisi kokkuleppeid, mis toetavad kriitilisi või olulisi funktsioone. ISO audiitor saab jälitada tarnijakontrollid lisa A viideteni ja riskikäsitluseni. GDPR-i läbivaataja näeb volitatud töötlejaid, andmekategooriaid, asukohti ja andmekaitsekohustusi. NIST-põhine hindaja saab vaadata tarneahela juhtimist, tarnija kriitilisust, lepingunõudeid ja elutsükli seiret.

Register muutub enamaks kui vastuseks küsimusele „kes on meie tarnijad?“. Sellest saab sõltuvusgraaf.

Poliitikavundament, mis muudab registri auditikõlblikuks

Claryseci poliitikakomplekt annab registrile tegevusliku kodu. VKE-de jaoks algab Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy - SME selge registrinõudega:

Tarnijaregistrit peab pidama ja ajakohastama haldus- või hankekontakt. See peab sisaldama järgmist:

Sama VKE poliitika sätestab, et lepingud peavad sisaldama määratletud turbekohustusi:

Lepingud peavad sisaldama kohustuslikke klausleid, mis hõlmavad järgmist:

Kuigi tsiteeritud klauslid juhatavad poliitikas endas sisse väljaloendid ja kohustuslike klauslite kategooriad, on rakendussõnum otsene: tarnijajuhtimine peab olema dokumenteeritud, määratud vastutusega ja lepinguliselt jõustatud.

Ettevõttekeskkondade jaoks on Claryseci Supplier Dependency Risk Management Policy Supplier Dependency Risk Management Policy DORA järelevalveootustele veelgi lähemal:

Tarnijasõltuvuste register: VMO peab pidama ajakohast registrit kõigi kriitiliste tarnijate kohta, sealhulgas sellised andmed nagu osutatavad teenused/tooted; kas tarnija on ainus allikas; kättesaadavad alternatiivsed tarnijad või asendatavus; kehtivad lepingutingimused; ning hinnang mõjule, kui tarnija ebaõnnestub või kompromiteeritakse. Register peab selgelt tuvastama suure sõltuvusega tarnijad (nt need, kellele puudub kiiresti kasutatav alternatiiv).

See vastendub selgelt DORA Article 29 kontsentratsiooni- ja asendatavusriskile. Kui tarnija on ainus allikas, toetab kriitilist funktsiooni, tegutseb kolmandas riigis, kasutab pikka alltöövõtuahelat ja tal puudub testitud väljumistee, ei tohi register seda riski peita vabatekstilise märkusena. Register peab selle lipustama, määrama omaniku ja siduma riskikäsitlusega.

Claryseci ettevõtetele mõeldud Third party and supplier security policy Third party and supplier security policy muudab kohaldamisala selgeks:

See hõlmab nii otseseid tarnijaid kui ka vajaduse korral nende alltöövõtjaid ning sisaldab kolmanda osapoole tarkvara, taristut, tuge ja hallatud teenuseid.

See lause kirjeldab levinud DORA lünka. Paljud organisatsioonid kajastavad otseseid IKT-teenuse osutajaid, kuid ei dokumenteeri alltöövõtjaid, alltöötlejaid, hallatud teenuste tööriistu, tugiplatvorme ega teenusesse põimitud kolmanda isiku tarkvara.

Oluline on ka lepinguline tõendusmaterjal. Sama ettevõttepoliitika sisaldab järgmist:

Õigused auditeerida, kontrollida ja nõuda turbe tõendusmaterjali

See fraas peab olema nähtav teie lepingu läbivaatamise kontrollnimekirjas. Kui kriitilise IKT-teenuse osutaja lepingus puuduvad auditi- või tõendusmaterjali nõudmise õigused, peab register märkima parandusmeetme.

Sama oluline on varade tõendusmaterjal. Claryseci VKE Asset Management Policy Asset Management Policy - SME sätestab:

IT-valdkonna juht peab pidama struktureeritud varade registrit, mis sisaldab vähemalt järgmisi välju:

Ettevõtte Asset Management Policy Asset Management Policy sätestab samuti:

Varade register peab sisaldama vähemalt järgmist:

Register ei pea dubleerima iga varavälja, kuid peab viitama varade registrile. Kui maksete seire SaaS toetab pettuste tuvastamist, peab DORA register viitama rakendusvarale, andmestiku varale, teenusekontodele, API-integratsioonidele, logiallikatele ja ärivaldkonna omanikule.

Pilveteenused väärivad eraldi vaadet. Claryseci VKE Cloud Usage Policy Cloud Usage Policy - SME nõuab:

IT-teenuseosutaja või GM peab pidama pilveteenuste registrit. See peab kajastama järgmist:

See on eriti väärtuslik varjatud IT avastamisel. DORA register, mis jätab välja väljaspool hanget ostetud pilveteenused, ei läbi praktilist täielikkuse testi.

Lõpuks muudab Claryseci Legal and Regulatory Compliance Policy Legal and Regulatory Compliance Policy ristvastavuse ISMS-i nõudeks:

Kõik õiguslikud ja regulatiivsed kohustused tuleb kaardistada konkreetsete poliitikate, kontrollimeetmete ja omanikega infoturbe juhtimissüsteemis (ISMS).

See on sild DORA registri ja ISO 27001 tõendusmaterjali vahel. Register ei peaks näitama ainult tarnijaid. See peab näitama, millised poliitikad, kontrollimeetmed ja omanikud täidavad regulatiivset kohustust.

DORA nõuete vastendamine ISO 27001 ja Claryseci tõendusmaterjaliga

Allolev tabel ühendab peamised registriootused ISO/IEC 27001:2022 lisa A kontrollimeetmetega ja praktiliste Claryseci tõendusartefaktidega.

See vastendus on koht, kus register lakkab olemast arvutustabel ja muutub tõendusmudeliks. Igal real peab olema lepingu omanik, tarnija omanik, teenuseomanik, ärivaldkonna omanik ja vastavuse omanik. Igal kriitilisel seosel peab olema riskikirje, lepinguklauslite kontrollnimekiri, varalink ja seiresagedus.

Praktiline näide: ühe IKT-lepingu vastendamine ISO 27001 tõendusmaterjaliga

Kujutage ette, et finantsüksus kasutab pilvepõhist pettuseanalüütika platvormi. Teenus võtab vastu tehingute metaandmeid, toetab reaalajas pettuseskoorimist, integreerub makseplatvormiga, säilitab pseudonüümitud kliendiidentifikaatoreid, kasutab pilvemajutuse alltöövõtjat ning pakub hallatud tuge heakskiidetud kolmanda riigi asukohast.

Nõrk registririda ütleb: „Tarnija: FraudCloud. Teenus: pettuseanalüütika. Leping sõlmitud. Kriitiline: jah.“

Järelevalvekvaliteediga registririda näeb väga teistsugune välja.

Nüüd saab vastavusmeeskond koostada sidusa tõenduspaketi. Tarnijaregister tõendab, et teenuseosutaja eksisteerib ja tal on omanik. Varade register tõendab, et sisemised süsteemid, rakendusliidesed, andmestikud ja logid on teada. Lepingu kontrollnimekiri tõendab, et kohustuslikud DORA klauslid on läbi vaadatud. Riskihindamine tõendab, et arvesse võeti kontsentratsiooni, alltöövõttu, andmekaitset ja talitluspidevust. Kohaldatavusdeklaratsioon näitab, millised kontrollimeetmed valiti. Seire ülevaatus tõendab, et kokkulepet ei unustata pärast kasutuselevõttu.

Zenith Blueprint, riskijuhtimise etapp, samm 13, soovitab just sellist jälgitavust:

Viita regulatsioonidele ristviidetega: kui teatud kontrollimeetmeid rakendatakse spetsiaalselt GDPR-i, NIS2 või DORA järgimiseks, saab seda märkida kas riskiregistris (riskimõju põhjenduse osana) või SoA märkustes.

Nii muutub DORA register ISO 27001 tõendusmaterjaliks, mitte paralleelseks bürokraatiaks.

Tarnija- ja alltöövõtuahel on koht, kus registri kvaliteet sageli laguneb

Suurimad registripuudused ei tulene puuduvatest tipptaseme tarnijatest. Need tulenevad peidetud sõltuvusahelatest.

Hallatud turbeteenuse pakkuja võib kasutada SIEM-platvormi, lõppseadme telemeetria agenti, piletihaldussüsteemi ja offshore-triaaži meeskonda. Maksetöötleja võib sõltuda pilvemajutusest, identiteediteenustest, pettuseandmebaasidest ja arveldusühenduvusest. SaaS-teenuseosutaja võib tugineda mitmele alltöötlejale analüütika, e-posti, vaadeldavuse, klienditoe ja varukoopiate jaoks.

DORA Article 29 suunab tähelepanu kontsentratsiooni- ja alltöövõturiskile. NIS2 Article 21 nõuab samuti tarneahela turvet otseste tarnijate ja teenuseosutajate puhul ning eeldab, et üksused arvestavad iga otsese tarnijaga seotud spetsiifilisi nõrkusi, toodete üldist kvaliteeti, tarnijate küberturbepraktikaid ja turvalise arenduse protseduure. DORAga hõlmatud finantsüksuste puhul toimib DORA sektorispetsiifilise reeglistikuna kattuvate NIS2 küberturvalisuse riskijuhtimise ja intsidentidest teatamise nõuete jaoks, kuid tarneahela loogika on kooskõlas.

Claryseci Zenith Blueprint, Controls in Action etapp, samm 23, annab praktilise juhise:

Iga kriitilise tarnija puhul tuvastage, kas ta kasutab alltöövõtjaid (alltöötlejaid), kellel võib olla juurdepääs teie andmetele või süsteemidele. Dokumenteerige, kuidas teie infoturbenõuded nendele osapooltele edasi antakse, kas tarnija lepingutingimuste või teie enda otseste klauslite kaudu.

Siin vajavad paljud organisatsioonid 2026. aastal parandusmeetmeid. Enne DORA valmisolekut sõlmitud lepingud ei pruugi sisaldada alltöövõtjate läbipaistvust, audititõendusmaterjali õigusi, koostööd ametiasutustega, intsidendituge, väljumistuge ega asukohakohustusi. Seetõttu peab register sisaldama lepingu parandusmeetmete staatust, näiteks lõpetatud, lünk aktsepteeritud, läbirääkimised käimas või väljumisvariant nõutav.

Ristvastavus: DORA, NIS2, GDPR ja NIST vajavad sama sõltuvustõde

Hästi kavandatud DORA teaberegister toetab enamat kui DORA.

NIS2 Article 20 muudab küberturvalisuse juhtorgani vastutuseks heakskiidu, järelevalve ja koolituse kaudu. Article 21 nõuab riskianalüüsi, poliitikaid, intsidentide käsitlemist, talitluspidevust, tarneahela turvet, turvalist hankimist ja hooldust, tõhususe hindamist, küberhügieeni, krüptograafiat, personaliturvet, juurdepääsukontrolli, varahaldust ja vajaduse korral MFA-d. Need valdkonnad kattuvad tugevalt ISO/IEC 27001:2022 ja registri tõendusmudeliga.

GDPR lisab privaatsuse aruandekohustuse. Selle territoriaalne kohaldamisala võib hõlmata EL-i ja mitte-EL-i organisatsioone, kes töötlevad isikuandmeid EL-i tegevuskoha kontekstis, pakuvad kaupu või teenuseid EL-is asuvatele isikutele või jälgivad nende käitumist. GDPR-i vastutava töötleja, volitatud töötleja, töötlemise, pseudonüümimise ja isikuandmetega seotud rikkumise definitsioonid on IKT-tarnijate kaardistamisel otseselt asjakohased. Kui DORA register tuvastab IKT-teenuse osutajad ja alltöövõtjad, kuid ei tuvasta isikuandmete töötlemise rolle, andmekategooriaid, asukohti ja kaitsemeetmeid, ei toeta see GDPR-i tõendusmaterjali.

NIST CSF 2.0 annab veel ühe kasuliku vaatenurga. Selle GOVERN-funktsioon nõuab, et organisatsioonid mõistaksid missiooni, sidusrühmade ootusi, sõltuvusi, õiguslikke ja lepingulisi nõudeid, teenuseid, millest teised sõltuvad, ning teenuseid, millest organisatsioon ise sõltub. Selle GV.SC tarneahela tulemused nõuavad tarneahela riskijuhtimise programmi, määratletud tarnijarolle, integreerimist ettevõtte riskijuhtimisse, tarnijate kriitilisust, lepingunõudeid, hoolsuskontrolli, elutsükli seiret, intsidentide koordineerimist ja suhtejärgset planeerimist.

Praktiline ristvastavuse vaade näeb välja selline.

Eesmärk ei ole luua viit vastavuse töövoogu. Eesmärk on luua üks tõendusmudel, mida saab iga raamistiku jaoks filtreerida.

Audiitori pilgu läbi

DORA järelevalveasutus keskendub täielikkusele, kriitilistele või olulistele funktsioonidele, lepingulistele kokkulepetele, alltöövõtule, kontsentratsiooniriskile, juhtimisele, aruandlusele ja sellele, kas registrit hoitakse ajakohasena. Ta võib küsida valimit kriitilistest teenuseosutajatest ning eeldada lepinguklausleid, riskihindamisi, väljumisstrateegiaid, intsidenditoe tingimusi ja tõendusmaterjali juhtkonna järelevalve kohta.

ISO/IEC 27001:2022 audiitor alustab ISMS-i kohaldamisalast, huvitatud pooltest, regulatiivsetest kohustustest, riskihindamisest, kohaldatavusdeklaratsioonist, tegevuslikust ohjest ja dokumenteeritud teabest. Ta testib, kas tarnijasuhted ja varade registrid on ajakohased, kas väliselt osutatavad protsessid on kontrollitud, kas muudatused käivitavad kordushindamise ning kas tõendusmaterjal toetab väidetavat kontrollimeetmete rakendamist.

NIST CSF 2.0 hindaja küsib sageli praeguseid ja sihtprofiile, juhtimisootusi, sõltuvuste kaardistamist, tarnija kriitilisust, lepingutesse integreerimist, elutsükli seiret ja prioriseeritud parendustegevusi.

COBIT 2019 suunitlusega audiitor uurib tavaliselt juhtimisvastutust, protsesside aruandekohustust, otsustusõigusi, toimivuse seiret, riskiaruandlust ja kindluse andmist. Ta küsib, kas register on lõimitud ettevõtte juhtimisse, mitte üksnes vastavusfunktsiooni hallatav.

Zenith Controls aitab neid vaatenurki tõlkida, ankurdades teema ISO/IEC 27001:2022 lisa A kontrollimeetmetesse A.5.9, A.5.19 ja A.5.20 ning kasutades seejärel ristvastavuse tõlgendust, et siduda varad, tarnijasuhted ja tarnijalepingud regulatiivsete, juhtimis- ja auditiootustega. See on erinevus väidete „meil on register“ ja „me suudame registrit kaitsta“ vahel.

Claryseci VKE Audit and Compliance Monitoring Policy Audit and Compliance Monitoring Policy - SME käsitleb ka tõendusmaterjali kvaliteeti:

Metaandmed (nt kes selle kogus, millal ja millisest süsteemist) tuleb dokumenteerida.

See nõue on väike, kuid mõjus. 2026. aasta tõendusmaterjali päringus on kogumise metaandmeteta arvutustabel nõrk. Registri eksport, mis näitab lähtesüsteemi, väljavõtte kuupäeva, vastutavat omanikku, heakskiidu staatust ja läbivaatamise sagedust, on tugevam.

Levinud DORA teaberegistri leiud 2026. aastal

Kõige sagedasemad leiud on praktilised.

Esiteks registri puudulik täielikkus. Pilveteenused, tugivahendid, seireplatvormid, arendustööriistad, piletihaldussüsteemid ja andmeanalüütika platvormid jäävad sageli välja, sest hange ei klassifitseerinud neid IKT-teenusteks.

Teiseks nõrk kriitilisuse loogika. Mõned meeskonnad märgivad tarnijad kriitiliseks kulude, mitte ärimõju alusel. DORA jaoks on oluline, kas IKT-teenus toetab kriitilist või olulist funktsiooni.

Kolmandaks lepingulise tõendusmaterjali lüngad. Vanemates tarnijalepingutes puuduvad sageli DORA-valmid klauslid auditeerimisõiguste, intsidenditoe, alltöövõtu, ametiasutustega koostöö, teenuse asukohtade, andmete tagastamise, lõpetamise ja väljumistoe kohta.

Neljandaks nõrk varaseos. Registrid loetlevad tarnijaid, kuid ei seosta neid rakenduste, andmestike, rakendusliideste, identiteetide, logide, taristu või äriteenustega. See raskendab mõjuanalüüsi intsidentide ja tarnijatõrgete ajal.

Viiendaks alltöövõtjate läbipaistmatus. Organisatsioon teab peamist teenuseosutajat, kuid ei suuda selgitada, millised alltöötlejad või tehnilised teenuseosutajad teenust toetavad.

Kuuendaks muutuse käivitajate puudumine. Teenuseosutaja lisab uue alltöötleja, muudab majutusregiooni, migreerib arhitektuuri või muudab tugijuurdepääsu, kuid keegi ei uuenda registrit ega hinda riski uuesti.

Seitsmendaks tõendusmaterjali sageduse puudumine. Puudub määratud sagedus tarnija läbivaatamiseks, lepingu läbivaatamiseks, varade valideerimiseks, pilveteenuste registri kooskõlastamiseks või juhtkonna aruandluseks.

Need probleemid on lahendatavad, kuid ainult siis, kui registril on omanikud ja töövood.

Praktiline 30 päeva parendusplaan

Alustage kohaldamisalast. Tuvastage kõik ärifunktsioonid, mis võivad DORA alusel olla kriitilised või olulised. Iga funktsiooni puhul loetlege IKT-teenused, millest see sõltub. Ärge alustage hankekuludest. Alustage tegevuslikust sõltuvusest.

Kooskõlastage põhilised andmeallikad: tarnijaregister, lepingute hoidla, varade register ja pilveteenuste register. Lisage vajaduse korral privaatsuse valdkonna volitatud töötlejate kirjed ja intsidentidele reageerimise sõltuvused. Eesmärk ei ole esimesel päeval täiuslikkus. Eesmärk on üks registri selgroog, kus teadmata väärtused on selgelt märgitud.

Klassifitseerige tarnijad ja teenused selliste kriteeriumide alusel nagu toetatav funktsioon, andmete tundlikkus, tegevuslik asendatavus, kontsentratsioon, alltöövõtt, asukohad, intsidendi mõju, taastamisaeg ja regulatiivne asjakohasus.

Vaadake läbi iga kriitilise või olulise IKT-kokkuleppe lepingud. Kontrollige, kas leping sisaldab teenusekirjeldusi, alltöövõtu tingimusi, asukohti, andmekaitsekohustusi, juurdepääsu ja taastamist, teenustasemeid, intsidendituge, auditeerimisõigusi, koostööd ametiasutustega, lõpetamist, koolitustel osalemist ja väljumistuge.

Kaardistage ISO tõendusmaterjal iga kriitilise kokkuleppe kohta. Siduge varakirjed, riskihindamise kirjed, SoA kontrollimeetmed, tarnija hoolsuskontroll, seire ülevaatused, talitluspidevuse plaanid, intsidendi tööjuhised ja väljumisstrateegia tõendusmaterjal.

Määrake sagedus. Kriitilised teenuseosutajad võivad vajada kvartaalselt läbivaatamist, iga-aastast kindluse hindamist, lepingu läbivaatamist enne uuendamist ning viivitamatut kordushindamist olulise muudatuse korral. Mittekriitilisi teenuseosutajaid võib läbi vaadata kord aastas või käivitavate sündmuste alusel.

Kasutage seda kontrollnimekirja, et muuta register toimivaks protsessiks:

• Looge DORA registri omanik ja asendaja.
• Siduge iga registririda lepingu ID ja tarnija omanikuga.
• Siduge iga kriitiline või oluline IKT-teenus ärifunktsiooni ja varakirjetega.
• Lisage alltöövõtja ja alltöötleja väljad, isegi kui need on alguses märgitud teadmata.
• Lisage DORA-kriitiliste tingimuste lepinguklauslite staatus.
• Lisage ISO/IEC 27001:2022 riski- ja SoA-viited.
• Lisage vajaduse korral GDPR-i rolli, isikuandmete ja asukoha väljad.
• Lisage läbivaatamise sagedus ja viimase läbivaatamise metaandmed.
• Looge eskaleerimisreeglid puuduvate klauslite, teadmata alltöövõtjate ja kõrge kontsentratsiooniriski jaoks.
• Esitage juhtkonnale registri kvaliteedimõõdikud.

Siin töötavad koos Claryseci 30-sammuline rakendusmeetod, poliitikakomplekt ja Zenith Controls. Zenith Blueprint annab rakendustee alates riskikäsitluse ja SoA jälgitavusest sammus 13 kuni varade registrini sammus 22 ja tarnijakontrollideni sammus 23. Poliitikad määratlevad, kes peab registreid pidama, milline lepinguline ja varade tõendusmaterjal peab olemas olema ning kuidas vastavuse metaandmeid kogutakse. Zenith Controls annab ristvastavuse kompassi sama tõendusmaterjali kaardistamiseks DORA, ISO/IEC 27001:2022, NIS2, GDPR, NIST ja COBIT 2019 auditiootuste vahel.

Muutke register tõendusmaterjaliks enne, kui järelevalveasutus seda küsib

Kui teie DORA teaberegister on endiselt arvutustabel, mis on lahti ühendatud lepingutest, varadest, tarnijatest, alltöövõtjatest ja ISO 27001 tõendusmaterjalist, on 2026. aasta aeg see korda teha.

Alustage Zenith Blueprinti Zenith Blueprint kasutamisest, et ühendada riskikäsitlus, varade register ja tarnijajuhtimine. Kasutage Zenith Controls Zenith Controls, et vastendada ISO/IEC 27001:2022 lisa A kontrollimeetmed A.5.9, A.5.19 ja A.5.20 ristvastavuse tõendusmaterjaliks. Seejärel viige nõuded tegevusse Claryseci tarnija-, vara-, pilve-, õigusliku vastavuse ja auditi seire poliitikate kaudu, sealhulgas Third-Party and Supplier Security Policy - SME, Supplier Dependency Risk Management Policy, Third party and supplier security policy, Asset Management Policy - SME, Asset Management Policy, Cloud Usage Policy - SME, Legal and Regulatory Compliance Policy ja Audit and Compliance Monitoring Policy - SME.

Parim aeg registri kvaliteedi parandamiseks on enne ametiasutuse päringut, siseauditit, tarnija katkestust või lepingu uuendamist. Järgmine parim aeg on praegu. Laadige alla asjakohased Claryseci poliitikad, vastendage oma praegune register ülaltoodud tõendusmudeliga ja broneerige DORA registri hindamine, et muuta killustunud tarnijaandmed järelevalvekvaliteediga tõendusmaterjaliks.